Cumprindo com a sua agenda para o biênio 2023-2024, a ANPD abriu Consulta Pública sobre norma de Transferências Internacionais de Dados Pessoais, que estará disponível até o dia 14 de setembro.
De acordo com a minuta, o objetivo é disciplinar a transferência internacional de dados para países ou organismos internacionais que proporcionem grau de proteção adequado e quando o controlador comprovar garantias na forma de cláusulas contratuais específicas, clausulas-padrão contratuais e normas corporativas globais.
Dentre as definições trazidas pela ANPD, merece destaque a diferença entre transferência internacional de dados e a coleta internacional de dados. De acordo com as definições, caracteriza-se transferência internacional de dados a transferência de dados pessoais pelo exportador (agente que transfere os dados pessoais) ao importador (agente que recebe os dados pessoais). Já a coleta internacional se configura quando houver a coleta de dados diretamente pelo agente localizado no exterior. Sobre a coleta, a ANPD deixa claro que não qualifica uma transferência internacional a simples coleta, a qual observará somente o disposto na LGPD.
Além dos requisitos gerais e garantias mínimas que deverão ser observadas, a minuta trata sobre as cláusulas-padrão que podem ser utilizadas como parte de contrato específico ou incorporadas a um contrato de objeto mais amplo sem a possibilidade de exclusão, modificação ou contradição, devendo ser disponibilizadas aos titulares em caso de solicitação. Além disso, o agente de tratamento deverá disponibilizar em sua página na internet, a sua Política de Privacidade com informações sobre o respectivo tratamento em português e com linguagem clara e acessível.
Não obstante ao que já aconteceu com a LGPD, as cláusulas-padrão contratuais da GDPR[1] influenciaram a atuação da ANPD. Isso porque, as Cláusulas Contratuais no direito Europeu, chamadas de Standard Contractual Clauses (SCCs)[2], podem ser utilizadas como base para transferências de dados da UE para países terceiros e foram divulgadas online pela Comissão Europeia, que possui atuação similar à ANPD.
Uma outra influência no Regulamento de legislação de proteção de dados internacional, foi a orientação do ICO[3] que instrui que as SCCs devem ser adotadas de forma integral e sem alterações, havendo a possibilidade de inclusão de cláusulas adicionais, desde que sejam somente sobre assuntos comerciais e não contrariem o disposto nas SCCs.
Quando ambas as legislações se referem a “Cláusulas contratuais”, compreendemos que os termos elaborados constituem um contrato por si só, visto que as cláusulas-padrão contratuais possuem responsabilidades, direitos e obrigações.
Já a Seção II da minuta dispõe sobre as cláusulas contratuais equivalentes, que são cláusulas contratuais de outros países ou de organismos internacionais e que poderão ter a sua equivalência reconhecidas pela ANPD, por meio de procedimento a ser instaurado de ofício ou a requerimento de interessados.
A intenção é priorizar a aprovação de cláusulas específicas que possam ser utilizadas em escala por outros agentes de tratamento que realizam transferências internacionais de dados em circunstâncias similares. Além disso, nos casos em que essas cláusulas sejam reconhecidas, elas serão aprovadas por Resolução do Conselho Diretor e publicadas na página da ANPD na Internet.
De forma semelhante ao caso acima, a ANPD prevê que o controlador possa solicitar a aprovação de cláusulas contratuais específicas. Diferentemente das cláusulas equivalentes, as cláusulas específicas somente poderão ser utilizadas em circunstâncias excepcionais, caso não seja possível a utilização das Cláusulas Contratuais Padrão e mediante a aprovação da ANPD, em razão da singularidade de determinadas transferências internacionais.
Outro ponto constante no documento são as Normas Corporativas Globais, que são destinadas a transferências internacionais de dados entre organizações do mesmo grupo econômico. De acordo com a Minuta, as normas possuem caráter vinculante em relação a todos os membros do grupo econômico ao qual pertencem e poderão ser aprovadas pela ANPD mediante procedimento específico.
De forma similar, verificamos que no direito Europeu existem as chamadas “Binding Corporate Rules” (ou BCRs) que possibilita que uma das empresas do Grupo submeta sua política interna de proteção de dados pessoais para avaliação e análise da Autoridade Nacional competente, conforme a localização da empresa. Caso a BCR seja aprovada, todas as empresas do grupo econômico poderão realizar o compartilhamento internacional de dados.
A ANPD, ainda, poderá reconhecer, mediante decisão de adequação, a equivalência do nível de proteção de dados pessoais de país estrangeiro ou de organismo internacional com a legislação nacional de proteção de dados pessoais, observando as normas gerais e setoriais da legislação em vigor do país de destino, natureza dos dados, observação dos princípios gerais, medidas de segurança adequadas e existência de garantias judiciais e institucionais.
De forma semelhante ao que é disposto na LGPD, a transferência internacional de dados para países terceiros ou organismos internacionais fora da Uniao Europeia é permitida quando for garantido um nível de adequação compatível com a Legislação Europeia, a partir de uma decisão de adequação da Comissão Europeia e levando em conta diversos fatores como respeito aos direitos humanos e liberdades fundamentais. Além disso, diferentemente do que dispõe a minuta e a LGPD, a decisão de adequação da Comissão deverá ser revista pelo menos uma vez a cada quatro anos.
Nesse tocante, deve-se analisar se haverá morosidade até que a primeira decisão de adequação seja emitida pela ANPD e o respaldo que as decisões de adequação já emitidas pela Comissão Europeia serão utilizadas. Até agora, os países para os quais a Comissão Europeia emitiu uma decisão de adequação são: Andorra, Argentina, Canada (organizações comerciais), Ilhas Faroe, Guernsey, Israel, Ilha de Man, Japão, Jersey, Nova Zelândia, República da Coréia, Suíça, the Reino Unido e Uruguay.
A exemplo de alguns problemas que podemos enfrentar com a aprovação do regulamento, um caso que ficou conhecimento mundialmente, foi quando a European Data Protection Board (EDPB), Autoridade europeia independente, determinou uma multa no valor de 1,2 bilhão de euros e a suspensão de todas as transferências futuras de dados pessoais da Meta da EU para os EUA, considerando o entendimento do Tribunal de Justiça da União Europeia (TJUE) que invalidou a decisão de adequação para transferências internacionais de dados pessoais entre União Europeia para os Estados Unidos. Após meses de discussão e diversas decisões, a Uniao Europeia, em razão de salvaguardas instituídas pelo Governo Americano, adotou a “decisão de adequação” permitindo que milhares de empresas enviem seus dados aos Estados Unidos. [i]
Assim como ocorreu na União Europeia, em que a maioria das empresas optaram por adotar as cláusulas contratuais modelo (SCCs) estipuladas pela Comissão Europeia, tudo caminha para que o Brasil também siga dessa forma, visando ganhar agilidade nas transferências internacionais.
Aliado a isso, entendemos que os procedimentos trazidos pela ANPD na minuta poderão ser lentos e burocráticos, tendo como consequência um comprometimento ou inviabilização das operações e atividades empresariais que sejam necessárias a transferência internacional de dados.
Desta forma, devemos aguardar a publicação da Regulação e os próximos posicionamentos da ANPD para compreendermos como essas orientações e disposições serão realmente aplicadas no país.
[1] https://gdpr-info.eu/
[2] https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en
[3] https://ico.org.uk/
[i] https://oglobo.globo.com/economia/tecnologia/noticia/2023/07/10/ue-adota-novo-marco-legal-para-transferencia-de-dados-para-os-eua.ghtml
